Auteur Sujet: Le dispositif DNS « anti-arnaques » de la Belgique: Belgian Anti Phishing Shield (Lu 9955 fois)

Taboin · « **Réponse #12 le:** 24 mars 2022 à 16:20:28 »

Effectivement, j'ai lu trop vite

vivien · « **Réponse #13 le:** 24 mars 2022 à 16:23:14 »

Neutralité et protection DNS contre l’hameçonnage

Du côté de la neutralité du net, pour que le filtrage Belgian Anti Phishing Shield puisse être effectué, il faut que cela soit une obligation légale et donc imposée à tous les fournisseurs d’accès à internet Belge.

Ce qui est étonnant, c'est que Proxiumus déclare sur cette page être le seul opérateur à "bloquer en temps réel" les sites d'hameçonnage. On remarque que le terme avertir des pages sur le Belgian Anti Phishing Shield est devenu bloquer, ce qui est plus juste.

Cette communication ne dit pas si les autres opérateurs ne bloquent pas ou bloquent en différé (par exemple si la mise à jour de la liste à bloquer est mis à jour deux fois par jour).

Pour ceux qui se demandent ce que c'est que le lien sur le mot flubot, c'est un lien vers Safeonweb qui illustre bien pourquoi la Belgique a mis en place Belgian Anti Phishing Shield :

pju91 · « **Réponse #14 le:** 24 mars 2022 à 16:40:37 »

Citation de: vivien le 24 mars 2022 à 16:23:14

Neutralité et protection DNS contre l’hameçonnage

Du coté de la neutralité du net ...

Pour un vétéran comme moi ayant connu l'époque où les MTA étaient tous ouverts et où la difficulté était surtout de parvenir à configurer son sendmail, je ne sais pas si le terme de neutralité est encore d'actualité alors qu'il est devenu très compliqué d'avoir son propre MTA sur un réseau domestique en FTTH ...
Ca n'est qu'un exemple parmi d'autres.

Evidemment sans vouloir te fâcher

kazyor · « **Réponse #15 le:** 24 mars 2022 à 17:06:08 »

Citation de: vivien le 24 mars 2022 à 15:14:48

- Si vous êtes Français, je veut bien votre avis : La France est intéressé par un tel mécanisme et pourrait mettre en œuvre un mécanisme similaire. [/b]Les études ne sont pas encore réalisées et il est donc encore possible de faire évoluer le système qui pourrait être mis en place. Le DNS permet de toucher directement tous les clients sans avoir à installer un logiciel, toutefois le DNS n'agis qu'au niveau du nom de domaine, et pas au niveau de l'URL comme pourrait le faire une extension à installer dans un navigateur web.

Je ne suis pas fan de la méthode Belge. Je préfère un opt-in à un opt-out ; sinon ça mènera à une levée de boucliers ...
D'autant que ça ne fera que donner plus de visibilité au blocage DNS.
Et puis avec DoH et DoT, ça ne marchera plus

Pourquoi ne pas tisser un partenariat avec Google Safe Browsing, Edge et Microsoft Defender SmartScreen justement ?
Ou trouver une solution via une extension de navigateur, et s'inspirer de la méthode des adblockers avec le paramétrage de liste d'exclusion ?
Peut-être simplement créer sa propre liste d'exclusion et voir pour que les initiatives Google, Microsoft, adblockers proposent celle liste dans leur paramétrage ?

vivien · « **Réponse #16 le:** 24 mars 2022 à 17:14:12 »

En Belgique, cela ne semble pas avoir fait beaucoup de bruit.

S'appuyer sur le GADAM est une autre solution possible, mais je comprends que le gouvernement souhaite une solution de blocage souveraine.

Un dispositif protection contre l’hameçonnage pourrait arriver en France, vu que c'est au programme du candidat à la présidentielle, Emmanuel Macron, donc je prends donc le pouls de la solution de référence, la solution Belge, afin de voir si c'est à reprendre, améliorer ou si c'est une mauvaise idée.

vivien · « **Réponse #17 le:** 24 mars 2022 à 17:14:31 »

Citation de: pju91 le 24 mars 2022 à 16:40:37

Pour un vétéran comme moi ayant connu l'époque où les MTA étaient tous ouverts et où la difficulté était surtout de parvenir à configurer son sendmail, je ne sais pas si le terme de neutralité est encore d'actualité alors qu'il est devenu très compliqué d'avoir son propre MTA sur un réseau domestique en FTTH ...
Ca n'est qu'un exemple parmi d'autres.

Evidemment sans vouloir te fâcher

Sur le fixe, les accès internet sont historiquement assez neutres en France (même s'il y a eu quelques bridages de débit pour le peer-to-peer à une époque), mais pas sur le mobile.

Si tu regardes le mobile, on n'a jamais été aussi neutre.

Tu te souviens où une plateforme modifiait le contenu des pages HTML, compressait les images, etc

Les opérateurs ont aujourd'hui bien plus de moyens pour manipuler le contenu, mais ils ne le font pas, car c'est interdit.

Bref, la neutralité n'est pas acquise pour toujours, cela doit demander des efforts pour surveiller les "innovations" des opérateurs (et rappelez-vous qu'un opérateur Wi-Fi ouvert au public est un opérateur).

azures · « **Réponse #18 le:** 24 mars 2022 à 18:48:48 »

Je n'ai personnellement jamais été face à cette page et à me connaissance aucun des proches non plus.
Je connais évidemment safe-on-web, ils font des opérations "pubs" sur les réseaux sociaux de temps pour sensibiliser et leurs messages passent parfois par des articles sur les médias nationaux.

Je suis cependant pas la cible de ce genre de filtrage vu que je suis prudent et que depuis +- 3 mois je suis derrière une Pi-Hole avec unbound.
Je soutiens plutôt la démarche (tant qu'elle reste encadré par loi, voté par nos élus) étant donnés que les madames michus comme on aime les appeler ici sont rarement très prudent sur le web.

Un utilisateur averti aura en plus vite fait de passer par un autre service DNS pour contourner ce blocage si il le désire.

Pour ce qui est des SMS envoyé en masse c'était vraiment un fléau l'année passé je suis bien content qu'ils aient réagis à la racine.

Le DoH et le DoT ça fait 5/6 ans que j'en entends parler mais franchement mise à part les emmerder les sysadmins et être quelque chose "qui existe" l'utilisation GP n'a pas l'air d'être là (même si elle est grandement facilitée). Corrigez-moi si je me trompe sur ce point-là

vivien · « **Réponse #19 le:** 24 mars 2022 à 18:59:27 »

L'activation par défaut du DoH dans Firefox, n'est pas forcément pour tout de suite en Europe.

L'Europe est un continent avec une réglementation protectrice et très présente : Cela rend moins utile et plus compliqué l'activation du DoH avec un DNS qui n'est pas celui de l'opérateur.

Le DoH de Firefox est activé par défaut en premier dans les pays qui laissent faire le marché et les dérives qui vont avec.

Vidéo de présentation de l'application Safeonweb : (qu'on ne peut pas télécharger avec un Android localisé en France)

hwti · « **Réponse #20 le:** 25 mars 2022 à 02:25:26 »

Sur le principe, je ne suis pas fan de ce genre de blocages par défaut, avec le risque de surblocages et la difficulté de passer outre pour l'utilisateur de base.

Pour le https, certes l'erreur dans le navigateur n'est pas claire, mais d'un autre côté le but est atteint si l'utilisateur s'arrête là.
Mais il ne faudrait pas que ça banalise les erreurs de certificats, ça pourrait être à double tranchant.

Quand le blocage ne concernera pas le domaine du site visité, mais uniquement domaine utilisé pour des images ou des scripts, l'utilisateur ne sera pas vraiment averti (le site va mal d'afficher ou mal fonctionner).
Le serveur pourrait retourner une image d'avertissement quand on lui demande une image, mais pour les scripts à part un alert("Attention, le site que vous visitez charge des scripts venant d'un site de phishing") pas très élégant je ne vois pas.

Mais l'implémentation côté Belgique ne me semble pas géniale : la page d'avertissement n'est qu'à la racine du site, quel que soit le Host utilisé

Du coup si l'utilisateur essaye de charger http://site.bloque/test, il va se retrouver avec une page d'erreur 404.
De même avec http://sitebloque.com/fr/donnees-personelles, il tombera sur la politique de données personnelles du CCB, etc...
Ils devraient afficher la page d'erreur pour n'importe quelle URL, sauf quand le champ Host vaut baps.ccb.belgium.be, et utiliser des URL absolues pour les liens sur la page (http://baps.ccb.belgium.be/fr/belgian-anti-phishing-shield, ...).

Je note que http://52.149.77.208/fr/donnees-personelles est assez générique, et ne dit pas ce qu'il advient des données des utilisateurs ayant été redirigés sur cette IP (une visite involontaire donc).
Certes c'est limité au http (sauf si l'utilisateur met une exception), mais le serveur reçoit :
- l'IP de l'utilisateur
- l'ensemble de l'URL d'origine
- les cookies associés au nom de domaine d'origine

vivien · « **Réponse #21 le:** 25 mars 2022 à 08:13:14 »

Je pense qu'ils doivent faire attention de ne pas bloquer des domaines si un sur blocage est possible.

Citation de: hwti le 25 mars 2022 à 02:25:26

Certes c'est limité au http (sauf si l'utilisateur met une exception), mais le serveur reçoit :
- l'IP de l'utilisateur
- l'ensemble de l'URL d'origine
- les cookies associés au nom de domaine d'origine

Le serveur reçois aussi le SNI (peut-être tu l'incluait dans le terme URL) et le user-agent.

Citation de: hwti le 25 mars 2022 à 02:25:26

Mais l'implémentation côté Belgique ne me semble pas géniale : la page d'avertissement n'est qu'à la racine du site, quel que soit le Host utilisé
Du coup si l'utilisateur essaye de charger http://site.bloque/test, il va se retrouver avec une page d'erreur 404.

Bien vu.

Le système Belge est encore récent et on peut bien l'améliorer : Par exemple, le choix du blocage (et des DNS) pourrait se faire dans l'interface de la box du FAI pour le fixe ou dans l'espace client sur le mobile. Ce choix modifierait les DNS envoyés au terminal (et on peut imaginer que les opérateurs déploient des serveurs DNS avec et sans protection contre l’hameçonnage). On pourrait imaginer un troisième DNS avec protection contre l’hameçonnage et en plus qui bloque les sites interdits au moins de 18 ans. Bonus : la possibilité de choisir le type de DNS à envoyer en fonction de l'adresse mac des équipements qui se connectent à la box.

C'est peut-être en cours de développement.

hwti · « **Réponse #22 le:** 25 mars 2022 à 09:23:59 »

Citation de: vivien le 25 mars 2022 à 08:13:14

Le serveur reçois aussi le SNI (peut-être tu l'incluait dans le terme URL)

En effet, même si l'utilisateur s'arrête à l'erreur de certificat, le SNI a été envoyé.
Si le serveur DNS est en DoH, il pourrait éventuellement indiquer un support ESNI et ECH avec des clés volontairement incorrectes, pour provoquer une erreur dans le navigateur (peut-être uniquement s'il est en mode strict) sans que le site reçoive le SNI.
Ce serait compliqué et ça concernerait peu de monde (il faudrait déjà un serveur DoH qui applique le blocage), mais ça participerait à la minimisation des données reçues.

pju91 · « **Réponse #23 le:** 25 mars 2022 à 09:55:19 »

Citation de: vivien le 25 mars 2022 à 08:13:14

Le système Belge est encore récent et on peut bien l'améliorer : Par exemple le choix du blocage (et des DNS) pourrait se faire dans l'interface de la box du FAI pour le fixe ou dans l'espace client sur le mobile. Ce choix modifierait les DNS envoyé au terminal (et on peut imaginer que les opérateurs déploient des serveurs DNS avec et sans protection contre l’hameçonnage). On pourrait imaginer un troisième DNS avec protection contre l’hameçonnage et en plus qui bloque les sites interdits au moins de 18 ans. Bonus: la possibilité de choisir le type de DNS à envoyer en fonction de l'adresse mac des équipements qui se connectent à la box.

J'ai peur que tu t'enflammes un peu sur la faisabilité d'une telle solution : sur l'Internet fixe, je pense que l'immense majorité des utilisateurs de box des opérateurs utilise un seul DNS, distribué sur tout le réseau local en DHCP = la box elle-même. Ta solution impliquerait d'offrir une interface utilisateur pour que la box sélectionne ses propres resolvers DNS selon une option de blocage DNS ou pas, ce qui complique les softs / la configuration / les procédures de support et augmente les risques d'incidents. Je ne pense pas que les opérateurs souhaitent aller dans cette direction. Par ailleurs, la granularité supplémentaire que tu évoques (à l'adresse MAC) ajoute encore une couche de complexité.